11月第3周的资安新闻中，在威胁态势方面，最重要是中国黑客锁定电信业者的间谍行动，后续消息不断，不只是多家美国电信业受害，其他国家电信业也传出遭攻击，如今资安业者CrowdStrike公布最新研究证实此事，指出中国黑客Liminal Panda也入侵南亚、非洲电信业者。

此外，11月中旬适逢黑色星期五行销活动前夕，以这项活动为诱耳、骗取信用卡及个资的网钓威胁揭露，一直是每年这个时间的新闻焦点，而最近一起攻击行动的发现中，显现是中国黑客SilkSpecter主导。

另要关注的是，中国黑客组织是近期零时差利用的主要威胁来源之一。继上星期我们报导资安业者BlackBerry揭露APT41的近期行动，后续资安业者Volexity揭露该群黑客组织的最新手法，指出发现利用FortiClient零时差利用情形并通报对方（尚未登记CVE），用户需多加侦测并注意厂商的修补与缓解。

在漏洞消息方面，有多达6个零时差漏洞利用情形，涵盖资安产品、企业产品，与消费端设备，这些漏洞已被攻击者利用，用户应尽速更新并清查是否遭入侵，尤其Palo Alto Networks的漏洞，Shadowserver基金会追查发现全球约有2千台防火墙疑似遭入侵，台湾也有58台。
●Palo Alto Networks针对旗下防火墙修补2个已出现攻击行动的零时差漏洞，分别是CVE-2024-0012 、CVE-2024-9474。
●Oracle针对旗下产品生命周期管理Agile PLM产品，修补已遭利用的零时差漏洞CVE-2024-21287。
●台厂奇偶科技多款已终止支持的视讯监控设备，发现零时差漏洞CVE-2024-11120被锁定利用的情形，用户应汰换设备因应。
●苹果修补2个已遭利用的零时差漏洞CVE-2024-44309、CVE-2024-44308，尤其Intel处理器的Mac电脑用户最要注意。

还有3个已知漏洞，近期被发现有黑客锁定利用，包括Progress今年2月修补Kemp LoadMaster负载平衡设备的CVSS满分重大漏洞CVE-2024-1212，以及VMware今年9月修补vCenter Server的漏洞CVE-2024-38812、CVE-2024-38813。

至于资安事件方面，这一星期国内有3家上市柜公司资安重讯，涵盖网通、电脑周边设备与电子零组件业。
●电信宽带设备大厂中磊代子公司Sercomm Philippines发布重讯，说明该菲律宾公司有部份信息系统遭受黑客网络攻击。
●打印机制造商诚研发布资安重讯，说明部份信息系统遭受黑客网络攻击。
●电子零组件业晟楠发布资安重讯，说明外部服务器遭受黑客攻击。
●上星期国巨代美国子公司发布资安重讯，由于事故发生日是在10月12日，等于事发相隔一个月才公布，证交所开罚5万元。
●美国汽车大厂福特传出4万多笔顾客数据外泄，先是有黑客在地下论坛兜售，后续该公司表示数据是从第三方业者流出。

在资安防护发展方面，我们看到AI治理与个资法的议题，分别是全球与台湾关注资安风险的重点。首先，BSI揭露国际趋势与展望，指出AI引发的「错误信息与假消息」，已经被世界经济组织（WEF）列为近两年10大风险之首，同时强调AI系统管理标准ISO 42001与AI治理力的重要性，以及国内企业需掌握到国际间对「董事会义务」的高度重视。

其次，在台湾，关于个人数据文件安全维护管理办法有新重要变动，过去政府已规范多个产业，包括数位经济相关产业、制造业及技术服务、综合商品零售业等。近日焦点在于「综合零售业」更名「零售业」，且扩大列管的范围，涵盖所有资本额达到1千万元的零售业，包含服饰业者Uniqlo、NET，以及全国电子等约有6,800家零售业者。

【11月18日】中国黑客利用FortiClient零时差漏洞存取VPN，入侵受害组织网络环境洞

上周二资安业者BlackBerry揭露对于间谍软件LightSpy攻击行动的最新调查结果，指出攻击者的身分是中国黑客APT41，并提及另一款模块化的恶意程序框架DeepData Framework，事隔3日，有研究人员透露更多关于该框架的插件模块功能细节，其中最引起他们注意的是，专门针对FortiClient用户端程序零时差漏洞而来的插件组件。

值得留意的是，这项漏洞的修补状态并不明朗，后续发展相当值得观察。

【11月19日】中国黑客锁定想趁机捡便宜的黑色星期五购物者发动网钓攻击

经过双11购物潮，紧接着由欧美国家发起的黑色星期五（Black Friday）也即将于月底展开，但在此同时，黑客盯上想要借此买到大幅折扣商品的购物者，企图偷取他们的信用卡与详细个资。

威胁情报业者EclecticIQ揭露中国黑客发起的网钓攻击行动，就是典型的例子。黑客声称商品只需2折就能买到，一旦购物者依照指示下单，就会将自己的数据发送给黑客。

【11月20日】勒索软件Helldown潜入受害组织，管道是兆勤防火墙的弱点

本周资安业者Sekoia针对勒索软件Helldown的攻击行动提出警告，指出这些黑客从原本针对Windows进行加密，如今也开发了破坏VMware ESXi虚拟化平台的文件加密工具。

值得留意的是，这些黑客潜入受害组织的方法，是利用兆勤防火墙的漏洞，黑客声称他们也成功入侵该公司的欧洲分公司，对此我们试图联系兆勤科技，但在今天资安日报截稿之前，我们尚未得到他们的回应，目前无法进一步证实此事。

【11月21日】中国黑客锁定南亚及非洲一带一路国家的电信业者从事间谍活动

这2个月，中国黑客Salt Typhoon锁定美国电信业者发动攻击，从而窃取特定政治人物的通话内容，不断有消息浮出台面，但值得留意的是，中国黑客并非只针对美国而来，其他国家也有电信业者受害的情形。

例如，中国黑客Liminal Panda针对南亚、非洲电信业者下手，活动已长达4年。值得留意的是，受害电信业者所属国家，都刚好参与中国的一带一路计划，因此研究人员认为，这些攻击很可能与国家利益有关。

【11月22日】黑客疑似利用零时差漏洞入侵2千台Palo Alto Networks防火墙

资安业者Palo Alto Networks在2周前发出不寻常的警告，指出他们得知有人掌握一项漏洞，呼吁用户要限缩管理界面的存取管道因应，到了本周，该公司公布漏洞细节，并指出有一定数量的防火墙遭到攻击。

但究竟有多少防火墙受害？这几天Shadowserver基金会表示，约有2千台防火墙疑似遭到入侵，值得留意的是，虽然多数受害设备位于美国、印度，但台湾也有灾情。